Hit-a-run DDoS

Hit-a-run DDoS

Sockstress je metoda, která se používá k útoku servery na internetu a dalších sítí s využitím protokolu TCP , včetně Windows , Mac , Linux , BSD a jakýkoli router nebo jiné internetové zařízení, které přijímá TCP spojení. Metoda to tím, že se pokusíte použít až místních zdrojů s cílem dojít k selhání služby nebo celý stroj v podstatě popření servisního útoku.

Sockstress byl vyvinut jako vnitřní proof-of-concept pozdní Jack C. Louis v Outpost24 . Louis objevili anomálie pomocí Unicornscan testovat a zkoumat sítí pro podnikové zabezpečení, které vedly k vývoji Sockstress . Tento koncept byl poprvé prokázán v září 2008. Vědci měli v plánu na uvolnění více Podrobnosti na konferenci T2 ve Finsku, kde se prokázal útoky. Oni místo toho rozhodl se i nadále úzce spolupracovat s, a věnovat více času, prodejce a norem společenství. V blogu, že řekl: "Nejsme jim dávat [na dodavatele] za nepřiměřený tlak, aby se špatně implementované spěchal opravy ven."

O Sockstress
Sockstress je uživatelsky země TCP socket stres rámec, který mohou absolvovat libovolný počet otevřených zásuvek, aniž by vznikly typické režii stavu sledování. Jakmile je zásuvka založena, je schopen posílat útoky TCP, které se zaměřují na určité druhy jádra a systémových prostředků, jako jsou čítače, časovače, a paměť bazény. Je zřejmé, že některé z útoků zde popsaných, jsou považovány za "dobře známé". Nicméně, plný účinek těchto útoků je méně známá. Dále, existuje více útoků zatím být objeven / zdokumentovány. Jak vědci dokumentovat způsoby poškozování konkrétní zdroje, útok moduly mohly být přidány do rámce sockstress.

Sockstress útok nástroj se skládá ze dvou hlavních částí:

1) Fantaip: Fantaip [ 6 ] je program "Phantom IP", které provádí ARP na IP adresy. Chcete-li použít fantaip, zadejte "fantaip-i rozhraní CIDR", Ex., "Fantaip-i eth0 192.168.0.128/25". Tento ARP / Layer 2 funkce by mohla být případně jinými prostředky v závislosti na požadavcích na místní topologie sítě. Vzhledem k tomu, sockstress dokončí sokety TCP v uživatelském prostoru, není vhodné používat sockstress s IP adresou nakonfigurován pro použití jádra, protože jádro by pak RST zásuvek. Toto není nezbytně nutné, jelikož použití firewallu k poklesu příchozích paketů s prvn parametr lze použít k dosažení stejného cíle a zabránit jádro zasahovat útoku vektorem.

2) Sockstress: Ve své nejzákladnější použití, sockstress jednoduše otevře soketů TCP a odešle zadaný TCP zátěžový test. Volitelně může poslat přihlášku konkrétní TCP užitečné zatížení (tj. "GET / HTTP/1.0" žádosti). Ve výchozím nastavení, po útoku ignoruje následné komunikaci na zavedené zásuvky. Je možné volitelně ACK sondy pro aktivní zásuvky. Útoky využít exponovaných zdrojů cílové zpřístupní příspěvek handshake.

Boční klient cookies, těžce popisované v blogů, zpravodajských a diskusních je detail realizace sockstress, a ne nezbytně nutné pro provádění těchto útoků.

Scénáře útok

Tato sekce tón nebo styl nemusí odrážet encyklopedické tón používaný na Wikipedii . Viz Wikipedia příručka pro psaní lepších článků pro návrhy. (únor 2013)

Tato část případně obsahuje původní výzkum . Prosím zlepšit tím, ověření na tvrzení a přidání vložené citace . Prohlášení sestávající pouze z původního výzkumu by měly být odstraněny. (únor 2013)
Každý útok v rámci sockstress má nějaký vliv na systému / služby je útočí. Nicméně, některé útoky jsou účinnější než ostatní proti kombinace specifického systému / služby.

Připojení povodeň napětí
Sockstress nemá speciální útok modul pro provádění jednoduché připojení povodňové útok, ale každý z útoku moduly mohou být použity jako takové, pokud-c-1 (max připojení bez omezení) a-m-1 (max. syn neomezené) možnosti použít. To by se přiblížit nafta útok provedení připojení povodeň, vyčerpání všech dostupných TCB je, jak je popsáno v CPNI dokumentu v kapitole 3.1.1

Příklad příkazy:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-Mz-P22, 80-R300 -s192.168.1.128/25-vv
Zero okno připojení napětí
Vytvoření připojení k poslechu zásuvky a po 3 way handshake (vnitřní poslední ACK) Poslat 0. okno.

syn -> (4k okno)
<- Syn + ACK (32k okno)
ack -> (0 okna)
Nyní server bude muset "sondy" na klienta, až se otevře okno nula. To je nejjednodušší typů útoku pochopit. Výsledek je podobný připojení povodní, kromě toho, že zásuvky zůstávají otevřené potenciálně dobu neurčitou (pokud -A/ACK je povoleno). To je popsáno v CPNI dokumentu v kapitole 2.2. Variace zde by bylo PSH klienta užitečné zatížení (tj. "GET / HTTP/1.0") před nastavením okna na 0. Tato varianta by byla podobná tomu, co je popsáno v části CPNI dokumentu 5.1.1. Další variantou by bylo občas inzerovat okno TCP větší než 0, pak se vraťte na 0-okna.

Dobrý proti:

služby, které mají dlouhé časové limity Příklad příkazy:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-Mz-P22, 80-R300 -s192.168.1.128/25-vv
Malé okno stres
Vytvoření připojení k poslechu zásuvky a po 3 way handshake (uvnitř posledního ACK) nastavit velikost okna ze 4 bajtů, pak vytvořit ack / PSH paket s TCP užitečného zatížení (do okna, které je snad dostatečně velká, aby ji přijmout) s Okno stále nastavena na 4 byty. To bude potenciálně způsobit paměti jádra, které se spotřebují, jak to má odezvu a rozděluje ho na malé kousky 4 byte. To je na rozdíl od připojení povodní v této paměti je nyní spotřebované pro každou žádost. To spolehlivě umístit Linux / Apache a Linux / sendmail systémů do Zaniklé státy. To je také účinný proti jiným systémům. Očekáváme, že to má podobný účinek jako to, co je popsáno v dokumentu CPNI ve druhém až poslední odstavec str. 17.

Podívejte se na soubor payload.c ve zdroji sockstress. Podívejte se na prohlášení hport switch. V této sekci můžete určit náklad, který bude odeslán na konkrétní porty. To je nejvíce efektivní poslat užitečné zatížení, který bude generovat jako velká reakce, jak je to možné (tj. "GET / largefile.zip").

Dobrý proti:

služby, které obsahují počáteční připojení bannery služby, které přijímají počáteční žádost a poslat velkou odezvu (například požadavek GET proti velké webové stránky, nebo stahování souborů) Příklad příkazů:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-Mw-P22, 80-R300 -s192.168.1.128/25-vv
Segment hole stres
Vytvoření připojení k poslechu zásuvky a po 3 way handshake (v poslední ACK) Poslat 4 bajty na začátku okna, jak ji ve vzdáleném systému. Pak pošlete 4 bajty na konci okna. Poté 0-okno připojení. V závislosti na zásobníku, mohlo by to způsobit, že vzdálený systém přidělit více stránek paměti jádra na připojení. To je na rozdíl od připojení povodní v této paměti je nyní spotřebované pro každé připojení provedené. Tento útok byl původně vytvořen pro cílové Linux. To je také velmi účinný proti Windows. To je útok jsme použili v našich sec-T a T2 dema. Očekáváme, že to má podobný účinek jako to, co je popsáno v dokumentu CPNI v kapitole 5.2.2 Odstavec 5 a bod 5.3.

Dobrý proti:

Komíny, které přidělují více stránek paměti jádra v reakci na tento stimulační Příklad příkazy:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-Ms-P22, 80-R300 -s192.168.1.128/25-vv
Pož. fin pauza napětí
Vytvoření připojení k poslechu zásuvky. PSH aplikace užitečné zatížení (tj. "GET / HTTP/1.0"). FIN připojení a 0-okno ji. Tento útok bude mít velmi rozdílné výsledky v závislosti na zásobníku / aplikaci, kterou se zaměřují. Pomocí tohoto proti Cisco 1700 (IOS) webový server, jsme pozorovali zásuvky vlevo v FIN_WAIT_1 na neurčito. Po dost takových zásuvek, router již nemohla správně komunikovat TCP.

Podívejte se na soubor payload.c ve zdroji sockstress. Podívejte se na prohlášení hport switch. V této sekci můžete určit náklad, který bude odeslán na konkrétní porty. Je důležité, abyste si poslat náklad, který bude vypadat jako normální klienta na aplikaci, kterou interakci s. Proti naší společnosti Cisco 1700, při použití tohoto útoku bylo důležité zaútočit na velmi pomalé rychlosti.

Příklad příkazy:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-MS-P80-R10 -s192.168.1.128/25-vv
Aktivace Reno tlakové napětí
Vytvoření připojení k poslechu zásuvky. PSH aplikace užitečné zatížení (tj. "GET / HTTP/1.0"). Triple duplicitní ACK.

Dobrý proti:

Komíny, které podporují tento způsob aktivace Reno nebo podobné funkce plánovače Příklad příkazy:

fantaip-i eth0 192.168.1.128/25-vvv
sockstress-A-C-1-d 192.168.1.100-m-1-MR-P22, 80-R300 -s192.168.1.128/25-vv
Ostatní Nápady
FIN_WAIT_2 stres
Vytvoření připojení k poslechu zásuvky. PSH aplikace užitečné zatížení, které bude pravděpodobně způsobí, že aplikace na druhé straně pro uzavření zásuvky (Target odešle FIN). ACK FIN.

Dobrý proti:

Komíny, které nemají časový limit FIN_WAIT_2. velké okno přetížení stres

zmenšit Path MTU stres
md5 stres
Účinky útoků
Pokud jsou útoky jsou úspěšné při zahájení trvale zastavené připojení, připojení tabulky serveru lze rychle naplněna, účinně vytvářet odmítnutí provozní podmínky, pro konkrétní službu. V mnoha případech jsme také viděli útoky spotřebují značné množství fronty událostí a systémové paměti, která zintenzivňuje účinky útoků. Výsledek, který byl systémů, které již nemají časovače událostí pro komunikaci TCP, zmrazené systémů a restartování systému. Útoky nevyžadují významné šířku pásma.

I když je triviální dostat jedinou službu, aby se stal k dispozici během několika sekund, aby se celý systém stal zaniklý může trvat mnoho minut, a v některých případech hodinách. Jako obecné pravidlo platí, že čím více služeb systému, tím rychleji se bude propadat ničivými (zlomený TCP, zámkový systém, restart, atd.) účinků útoků. Alternativně, útok amplifikace může být dosaženo tím, že napadne z většího počtu adres IP. My obvykle útočit z / 29 přes / 25 v našich laboratořích. Útočící od / 32 je obvykle méně efektivní při způsobuje v rámci celého systému chyby.

Využívání výhrady
Útok vyžaduje úspěšné TCP 3-way handshake efektivně vyplnit obětí tabulky spojení. To omezuje účinnost útoku jako útočník nemůže zfalšovat adresu IP klienta, aby se zabránilo sledovatelnost.

Styl sockstress využít také potřebuje přístup k syrové zásuvek na útočící stroje, protože pakety musí být nakládáno v uživatelském prostoru , spíše než s OS v connect () API . Syrové zásuvky jsou zakázány na Windows XP SP2 a vyšší, ale ovladače jsou snadno dostupné, aby toto zařízení zpět do systému Windows. Využívat je schopen být provedeny tak, jak je na jiných platformách se surové zásuvek, jako * nix a vyžaduje oprávnění uživatele root (superuser) privilegia.

Zmírnění
Vzhledem k tomu, útočník musí být schopen navázat TCP sokety mít vliv na cíl, bílé výpis přístup na TCP služby na kritických systémů a směrovačů je v současné době nejúčinnější prostředek pro zmírnění. Použití protokolu IPsec je také účinné zmírnění.

Podle Cisco reakce [ 8 ] aktuální doporučení pro zmírnění je povolit pouze důvěryhodných zdrojů, přístup k TCP-založené služby. Toto snižování je důležité zejména u kritických zařízení infrastruktury. Red Hat uvedl, že "Vzhledem k rozhodnutí, proti proudu je nebude uvolňovat aktualizace, Red Hat nemají v plánu vydat aktualizace pro vyřešení těchto problémů;. však účinky těchto útoků lze snížit" Na Linuxu pomocí iptables se sledování spojení a omezování rychlosti může omezit dopad využívání výrazně.